2. Définition du paysage de sécurité
Ce chapitre fournit les définitions des composants de
sécurité qu'il est important de bien comprendre pour procéder à l'analyse de la
sécurité de votre entreprise. Il propose des conseils généraux sur la façon
d'exécuter une analyse préliminaire des ressources de l'entreprise. Il traite
également des relations qui existent entre les menaces, les expositions aux
risques, les vulnérabilités et les contre-mesures.
Composants de gestion du risque de sécurité
Nécessité d'un
programme de sécurité stratégique
Si le contrôle de l'accès aux ressources est essentiel, la
facilité d'utilisation de celles-ci l'est tout autant. Pour mettre au point une
stratégie de sécurité efficace, il est capital de trouver un compromis entre
ces deux impératifs. La mise en place d'un programme de sécurité très
restrictif peut, en définitive, se révéler coûteuse. En outre, elle peut
représenter une perte de temps dans la mesure où elle limite le champ d'action
des éventuels auteurs d'attaque, mais aussi celui des utilisateurs. Si l'accent
est mis sur le contrôle de façon exagérée, les utilisateurs risquent d'être
mécontents en raison de l'application de stratégies qui les empêchent
d'effectuer correctement leur travail. À l'inverse, si le programme de sécurité
est laxiste, les utilisateurs peuvent négliger la question de la sécurité sur
le lieu de travail et ouvrir la porte à d'éventuelles attaques. Il est
essentiel de sensibiliser les membres de l'entreprise à l'importance de la
sécurité afin d'éviter que les stratégies entraînent d'autres complications.
Des problèmes peuvent survenir si les chartes, les stratégies et les plans de
sécurité ne sont appliqués que partiellement. Si la qualité est un élément clé
des projets informatiques dans lesquels le principe « zéro défaut »
est primordial, cette qualité est également de rigueur pour garantir un niveau
de sécurité élevé dans votre entreprise.
Un facteur de succès essentiel lors de la mise en place
d'une infrastructure sécurisée est l'élaboration d'un processus adéquat de
gestion du risque de sécurité. Grâce à l'identification précise du risque,
associée à des procédures efficaces d'évaluation, de gestion, d'atténuation et
d'exécution ainsi qu'à des plans de secours, vous pouvez réduire la probabilité
qu'un risque donné se produise. Par ailleurs, si le risque ne peut pas être
évité, vous pourrez ainsi en minimiser l'impact. L'exécution d'une analyse de
risques permet d'éliminer des problèmes de sécurité critiques qui requièrent
votre attention et l'adoption d'une ligne de conduite. Un risque de sécurité
est avéré lorsqu'une menace exploite une vulnérabilité qui, à son tour, cause
des dommages à une ressource de l'entreprise. La création de plans de secours
et d'atténuation vous permet de créer des procédures et des stratégies de
sécurité et ainsi d'adopter une gestion proactive et réactive du risque de
sécurité.
Avec l'évolution des technologies et l'élaboration de
nouvelles méthodes pour les exploiter, il devient indispensable d'implémenter
des plans de sécurité, de les appliquer et de les optimiser continuellement.
Les programmes de sécurité doivent être adaptés régulièrement car leur
efficacité dépend de la mise en place ad
hoc de nouvelles stratégies et procédures. Ils doivent également prendre en
compte les éventuelles répercussions légales d'une attaque ; en effet,
l’exploitation d’une faille de sécurité peut conduire un tiers à entamer des
poursuites à l’encontre de votre entreprise si ce tiers estime que le piratage
de votre entreprise nuit à ses intérêts. En conséquence, des plans de réponse
aux incidents, adaptés à l'environnement de l'entreprise, doivent être élaborés
avec soin
Une évaluation adéquate des ressources permet de
déterminer plus facilement les coûts induits. Il est également important de
mettre en balance les coûts d'investissement relatifs aux mesures d'atténuation
et les conséquences liées à une ressource endommagée ou compromise. Pour plus
d'informations sur la manière d'atteindre cet objectif, reportez-vous au
chapitre 3, « Présentation de la SRMD (discipline de gestion du risque de sécurité) ». Celui-ci explique comment obtenir le
compromis idéal entre les coûts et les risques.
Si la perte de données confidentielles affecte gravement
la productivité ou le chiffre d'affaires de votre entreprise, il est probable
que les investissements consentis pour assurer leur protection seront
conséquents. En revanche, si un tel événement n'a que peu de répercussions sur
l'entreprise, un niveau de protection minimal suffit, d'où des investissements
moindres.
Le processus d'évaluation du risque de sécurité nécessite
la prise en compte des points suivants, huit au total :
·
Conditions de sécurité
requises pour les ressources. Identifiez tous les composants de
l'infrastructure qui exigent un niveau de protection quel qu'il soit, et notamment
les systèmes, les réseaux, les applications et les données d'entreprise.
L’évaluation des ressources doit s'exprimer de façon quantitative et
qualitative. Cette approche permet de prévoir correctement les contre-mesures
ou les mesures de protection adéquates.
· Analyse des menaces. Créez une liste des exploitations connues et déterminez pour chacune la probabilité qu’elle se produise. Une « exploitation » est un moyen susceptible d'être utilisé par une menace pour tirer parti d'une vulnérabilité présente dans votre environnement. Pour effectuer une analyse adéquate des menaces, vous devez compiler une liste des principaux agents de menace identifiés. Le terme menace renvoie à tout danger potentiel pour les informations ou les systèmes de votre environnement. Un agent de menace est la personne ou le processus qui attaque le réseau via un port vulnérable du pare-feu ou un processus qui accède à des données de manière à enfreindre votre stratégie de sécurité.
· Identification des expositions. Analysez le pourcentage de perte de ressources imputable à chaque menace identifiée. L'identification et la détermination de la perte de valeur potentielle de chaque exposition constituent des facteurs clés de l'analyse du risque de sécurité.
· Évaluation des vulnérabilités. Établissez une liste exhaustive de toutes les vulnérabilités connues susceptibles d'être exploitées au détriment de ressources nécessitant un niveau quelconque de protection. Une vulnérabilité est une faiblesse qui existe dans un système informatique ou l’un des ses composants (par exemple, les procédures de sécurité du système, la conception matérielle, la conception logicielle ou les contrôles internes) et qui est susceptible d'être exploitée.
· Élaboration de contre-mesures. Mettez au point des contre-mesures adéquates pour pallier le risque de sécurité. Celles-ci doivent témoigner d'une certaine logique économique, c'est-à-dire qu'elles doivent être rentables tout en protégeant les ressources de votre entreprise.
· Test d'intrusion. Utilisez le test d'intrusion afin d'identifier les différents moyens qu'une personne non autorisée est susceptible d'utiliser pour avoir accès à votre entreprise. Parmi les méthodes de test d'intrusion les plus courantes, citons notamment :
· L'analyse des ressources externes en vue d'identifier les cibles potentielles des agressions.
· L'envoi d'une requête dite « War Pinging » (balayage par ping) pour identifier les adresses IP non protégées. Il s'agit d'un outil utilisé par les pirates pour déterminer dans une plage d’adresses IP lesquelles sont actuellement utilisées ou renvoient une réponse dans le délai imparti. Les résultats de ces requêtes peuvent être importés dans des bases de données.
· L'ingénierie sociale pour localiser les personnes dont il est possible d'obtenir par la ruse les mots de passe ou d'autres informations de sécurité susceptibles de donner accidentellement accès à des informations confidentielles.
· Une intrusion physique pour déterminer s'il est possible d'accéder facilement aux installations.
Ces tests sont utiles dans la mesure où ils permettent
d'accroître l'attention portée par une entreprise aux stratégies de sécurité.
Cependant, l'une des principales difficultés consiste à trouver un agent
externe suffisamment fiable pour pouvoir les réaliser.
· Réponse aux incidents. Un plan de réponse aux incidents digne de ce nom doit décrire les procédures spécifiques à mettre en œuvre à mesure que vous en apprenez davantage sur l'attaque dont votre société est l'objet. Généralement, la nature des symptômes de l'attaque détermine la séquence à respecter dans l'exécution des procédures définies par le programme de sécurité. Dans la mesure où le temps est toujours compté, il est préférable d'implémenter les procédures rapides avant les autres.
· Évaluation des efforts à fournir pour sécuriser les ressources. Définissez la quantité totale de travail (en termes de temps, d'efforts et d'argent) requise pour garantir une sécurité suffisante et néanmoins faire en sorte que l'infrastructure globale reste accessible aux utilisateurs de l'entreprise. L'analyse coût-avantages d'une mesure de protection donnée doit dériver d'une analyse du risque de sécurité pour la ressource par rapport au coût total de possession (TCO) ou au retour sur investissement (ROI) pour l'entreprise.
Ressources
Une ressource est un élément de l'environnement qui peut
nécessiter un certain niveau de protection. Il peut s'agir d'éléments figurant
dans le bilan – tels que des logiciels ou du matériel – ou d'autres valeurs
moins mesurables comme des données ou des personnes. L'objectif de la sécurité
est d'empêcher la compromission des ressources et de garantir la
confidentialité, l'intégrité et la disponibilité des données. Pour toutes les
sociétés, les nombreux effets préjudiciables dus à une altération de leurs
données, parmi lesquels une dégradation de l'intégrité des données
commerciales, représentent une préoccupation majeure.
Un aspect essentiel de la gestion du risque informatique
consiste à déterminer la valeur de chaque ressource principale de l'entreprise,
la valeur des informations contenues dans ces ressources et la relation qui
unit chacune aux autres ressources de l'environnement. Par exemple, la valeur
d'une société peut baisser si certaines de ses données commerciales essentielles
sont compromises à partir d'un serveur Web. Il serait également inquiétant
qu'un routeur reliant toutes les succursales au siège social soit compromis.
La valeur globale associée à chaque ressource détermine le
temps, les efforts et le coût consacrés à la sécurisation de cette ressource,
d'après le niveau de sécurité requis, pour qu'elle bénéficie d'une protection
adéquate. N'oubliez pas que les ressources peuvent présenter un niveau de
dépendance. Il faut prendre en compte le mode d'authentification qui leur est
appliqué, la manière dont les utilisateurs accèdent à chacune d'elles ainsi que
les données qu'elles exposent. Par exemple, il ne faut pas que le mot de passe
d'ouverture de session défini sur l'ordinateur portable d'un responsable informatique
soit trop simple, car sa découverte peut entraîner un important risque
financier.
Les ressources elles-mêmes doivent également être classées
en fonction des mesures de protection dont chacune a besoin. Il existe
différents types de mesures de protection :
· Prévention. Mesures qui empêchent les ressources d'être endommagées, altérées ou volées. Les mesures préventives vont du verrouillage de la porte de la salle des serveurs à l'application de stratégies de sécurité de haut niveau.
· Détection. Mesures visant à détecter toute détérioration, altération, vol ou compromission des ressources. Parmi les mesures de détection, citons notamment des mécanismes servant à déterminer la manière dont la ressource a été compromise et, plus particulièrement, le coupable. Il existe un large éventail d'outils qui permettent de déceler des intrusions, des dommages, des altérations et des virus.
· Réaction. Mesures de récupération permettant de rétablir l'état initial d'une ressource même si celle-ci est perdue ou endommagée.
Ces catégories de mesures de protection doivent être
intégrées à différents types de contre-mesures. Ces dernières contribuent à
atténuer le risque potentiel de compromission d'une ressource. Leur objectif
est d'éliminer une vulnérabilité ou de réduire le risque d'exploitation de
celle-ci par une menace dans un environnement informatique. Pour mettre au
point des contre-mesures destinées à protéger vos ressources, commencez par
étudier les approches pouvant être exploitées pour compromettre les ressources de
l'entreprise. Pour cela, identifiez les menaces et les risques propres à
chacune d'elles. Lors de l'élaboration d'un programme de sécurité visant à
protéger les ressources de l'entreprise, veillez à prendre en compte les cinq
principes suivants, en évaluant chacun d'eux en fonction de vos besoins.
· Confidentialité. La confidentialité est assurée lorsque les informations ne sont accessibles qu'aux seules personnes autorisées à y accéder. Elle garantit que le niveau requis de protection est appliqué à chaque jonction du traitement des données de façon à empêcher la divulgation illicite de ces données. À titre d'exemple, une stratégie de sécurité qui permet l'accès utilisateur anonyme à des informations aussi sensibles qu'un partage de fichiers d'un département des ressources humaines est déplorable.
· Intégrité. L'intégrité consiste à préserver l'exactitude des informations et des méthodes de traitement. Elle est assurée lorsque les informations de l'environnement système demeurent précises et fiables et que leur modification sans autorisation est impossible. Le stockage de données incorrectes est aussi préjudiciable pour une entreprise que la perte de données.
· Disponibilité. Assurer la disponibilité d'un système consiste à empêcher la rétention non autorisée d'informations ou de ressources. La disponibilité garantit la fiabilité des données et ressources ainsi que la possibilité pour les personnes autorisées d'y accéder de manière opportune.
· Authentification. L'authentification est le processus consistant à vérifier que les utilisateurs sont bien qui ils prétendent être lorsque ceux-ci ouvrent une session dans le système. En règle générale, elle est réalisée sur la base des noms d'utilisateur et des mots de passe. Parmi les méthodes d'authentification plus sophistiquées, citons l'utilisation des cartes à puces ou de la biométrie, avec notamment l'analyse de la rétine ou des empreintes digitales.
Le processus d'authentification
n'octroie pas à l'utilisateur des droits d'accès aux ressources, lesquels sont
accordés par le processus d'autorisation. Lorsque l'authentification est
compromise, il n'existe plus aucun moyen de déterminer qui accède à la
ressource.
· Autorisation. L'autorisation accorde à une personne ou à un processus le droit d'utiliser le système et les données qui y sont stockées. Les autorisations sont généralement définies par un administrateur système et vérifiées par un ordinateur de l'environnement. Cette vérification s'appuie sur une forme quelconque d'authentification de l'utilisateur, comme un code d'identification personnel (code PIN), un code numérique ou un mot de passe.
Un processus d'autorisation a
recours à l'autorité de sécurité appropriée pour déterminer si un utilisateur a
le droit d'accéder aux ressources. Lorsque l'autorisation est compromise, il
n'existe plus aucun moyen de recenser qui devrait avoir accès à la ressource.
Relations
entre menaces, expositions, vulnérabilités et contre-mesures
Si un agent de
menace engendre une menace et
exploite une vulnérabilité, la
sécurité peut être compromise suite à l'attaque. Cette dernière peut alors
endommager une ressource en termes
de confidentialité, d'intégrité ou de disponibilité. Par conséquent, elle
entraîne une exposition de
l'entreprise à des pertes potentielles. Toutefois, il est possible de minimiser
ces expositions par l'application de contre-mesures.
Une vulnérabilité surgit par exemple si une société a
installé des logiciels antivirus uniquement sur ses serveurs et que les
signatures de virus ne sont pas à jour. La société devient vulnérable à
d'éventuelles attaques virales et à la menace d'un virus qui pénétrerait dans
l'environnement et en perturberait la productivité.
Le risque est représenté par la probabilité d'infection et
de dommages causés à l'environnement par un virus. Puisqu'il existe une
possibilité de perte ou de corruption des données suite à une attaque virale,
la société est désormais exposée à un tel risque. En guise de contre-mesures,
vous devez veiller à installer un logiciel antivirus sur chacun des ordinateurs
de l'environnement et à y mettre à jour les signatures de virus.
Les termes relatifs à la gestion de la sécurité sont
parfois difficiles à comprendre. Le tableau suivant propose une liste des
composants clés de la gestion de la sécurité ainsi que leur définition.
Tableau 2-1
Composants clés de la sécurité
|
Composant |
Définition |
|
Menace |
Tout danger potentiel pour les informations ou les
systèmes. |
|
Agent de menace |
Personne ou processus qui attaque le réseau via un port vulnérable du
pare-feu ; processus qui accède à des données de manière à enfreindre la
stratégie de sécurité. |
|
Vulnérabilité |
Faiblesse au niveau d'un logiciel, d'un composant
matériel ou d'une procédure qui peut offrir au pirate ou à l'agent de menace
la possibilité de s'introduire dans un réseau ou un ordinateur et ainsi
d'accéder de façon illicite aux ressources de l'environnement. |
|
Risque |
Probabilité qu'un agent de menace exploite une
vulnérabilité. |
|
Exposition |
Situation dans laquelle un agent de menace expose une
ressource de la société à une perte potentielle et, partant de là, à des
dommages éventuels. |
|
Contre-mesure |
Mesure de protection qui atténue ou limite un risque. Il
peut s'agir de configurations logicielles, de matériel ou de procédures
visant à éliminer une vulnérabilité ou à limiter le risque d'exploitation
d'une vulnérabilité par un agent de menace. |
La relation qui existe entre les menaces, les
vulnérabilités et le risque n'est pas toujours simple à appréhender dans un
premier temps. Chaque menace et chaque vulnérabilité identifiées au sein de
l'entreprise doivent être qualifiées et classées selon une échelle standard
(par exemple, niveau faible, moyen ou élevé). La classification varie d'une
entreprise à une autre, voire au sein d'une même entreprise. Ainsi, la menace
d'un séisme est plus réelle pour les bureaux implantés près d'une ligne de
faille majeure qu'ailleurs. De la même façon, le degré de vulnérabilité en
termes de dommages physiques causés aux équipements est plus élevé dans une
entreprise produisant des composants électroniques très sensibles et fragiles
que dans une entreprise de construction. La matrice de gestion des risques peut
vous aider à évaluer les menaces et leur impact sur l'entreprise. Comme le
montre l'illustration suivante, le risque croît :
Figure 2-1.
Matrice de gestion des risques.
La matrice de gestion des risques peut être exploitée
comme suit. Imaginons par exemple que votre société possède deux sites Web
complètement différents, un site d'informations sans vocation commerciale et un
autre site, commercial celui-là, qui propose des services financiers et prend
en charge tout le processus transactionnel de vente pour vos clients.
Chaque site Web affiche des niveaux de risque différents.
Le site Web d'informations présente un faible niveau de menace dans la mesure
où il contient des données dont le vol ou l'endommagement n'entraveront pas le
bon déroulement des opérations commerciales. Pareil site peut également avoir
un niveau de vulnérabilité faible si des Service Packs et des correctifs
récents sont déployés sur le serveur qui l'héberge. Ces deux éléments conjugués
font que le site Web d'informations occupe le quadrant Risque faible.
Prenons à présent le cas du site Web de services
financiers. Celui-ci peut figurer dans le quadrant Risque moyen ou Risque élevé.
Les pirates informatiques peuvent en effet retirer un grand bénéfice du vol ou
de la compromission des données financières, d'où un niveau de menace élevé.
Néanmoins, si les serveurs Web sont dotés des Service Packs et correctifs
adéquats, ce site Web est alors moins vulnérable et peut figurer dans le
quadrant Risque moyen. Si, au contraire, les correctifs et Service Packs des
serveurs Web ne sont pas à jour, le site Web occupera le quadrant Risque élevé.
L'illustration ci-dessous propose un modèle théorique
permettant de déterminer les menaces, les motifs et objectifs, les méthodes,
les exploitations et les vulnérabilités susceptibles d'être utilisés contre
votre entreprise lors d'une attaque.
Figure 2-2.
Déroulement de la compromission d'une ressource.
Le schéma de la figure 2-2 illustre le cheminement simple
mais logique que peuvent emprunter les agents de menace pour compromettre des
ressources. Tout à gauche figurent les trois types de menaces. Cette
classification identifie l'auteur de l'attaque ou les agents de menace qui en
sont à l'origine. Les trois classifications possibles sont les menaces non
intentionnelles, les menaces intentionnelles et les incidents catastrophiques.
Les agents de menace ont généralement un motif ou
poursuivent un objectif lorsqu'ils tentent de compromettre des
ressources : ce peut être le profit. Ils recourent à des outils,
techniques et méthodes spécifiques pour exploiter certaines vulnérabilités au
niveau de la sécurité des ressources. Les flèches de l'illustration montrent le
parcours que suit un pirate lorsqu'il tente de compromettre une ressource ainsi
que les vulnérabilités qui peuvent être exploitées.
Classification
des menaces
Une menace est une personne, un lieu ou une chose qui a la
possibilité d'accéder aux ressources et de les endommager. Il existe deux
sources principales de menaces : les catastrophes naturelles et l'homme.
Les menaces humaines peuvent à leur tour être réparties en deux
catégories : les menaces intentionnelles et celles qui ne le sont pas. Les
attaques dites « non intentionnelles » sont généralement imputables à
des utilisateurs ou employés insuffisamment formés à l'informatique et non
conscients des diverses menaces qui pèsent sur la sécurité informatique. Les
attaques intentionnelles émanent généralement de personnes qui poursuivent un
objectif spécifique ; il peut s'agir d'individus externes à la société ou
d'employés mécontents ou ayant été limogés.
Tableau 2-2
Types de menaces
|
Menace |
Exemples |
|
Catastrophes |
Incendie, eau, vent, séisme, panne de courant ou
attaques terroristes |
|
Menace non intentionnelle |
Employés ou utilisateurs mal informés |
|
Menace intentionnelle |
Pirates, espions industriels, gouvernements, corruption
ou employé déçu |
Catastrophes
Tout événement lié à des conditions climatiques extrêmes,
à des phénomènes naturels ou à une catastrophe de grande ampleur peut provoquer
des dommages importants à l'infrastructure d'une entreprise. Il peut entraîner
la perte d'informations, des dégâts matériels et une baisse de la productivité,
en plus de perturber d'autres services essentiels.
Malheureusement, il est presque impossible de mettre en
œuvre des mesures préventives pour limiter l'impact de tels incidents. La
meilleure approche face à de telles menaces est de mettre en place des plans de
secours et de récupération d'urgence, afin de minimiser les effets de la perte
pouvant être subie. Si de tels plans sont en vigueur, l'entreprise peut plus
facilement procéder à une restauration du système à l'état précédant la
catastrophe, de façon à rétablir le déroulement normal des activités le plus
rapidement possible. Outre ces catastrophes naturelles, il ne faut pas omettre
d'éventuelles émeutes en résultant, car celles-ci peuvent entraîner une perte
de ressources contre laquelle il est difficile d'établir des plans de secours
efficaces.
Pannes
mécaniques
Les menaces mécaniques sont fréquemment négligées. Citons
notamment les pannes de courant, les défaillances matérielles et les pannes
réseau. Une planification adéquate permet souvent d'éviter l'apparition de
vulnérabilités découlant de telles menaces. La mise en place de clusters
matériels, l'existence d'une alimentation de secours pour les centres de
données et une architecture réseau solide peuvent contribuer à éliminer les
points de défaillance uniques susceptibles de provoquer des pannes mécaniques.
Toutefois, il faut savoir que l'implémentation de ces contre-mesures peut se
révéler extrêmement coûteuse et qu'une évaluation rigoureuse s'impose pour
déterminer si la valeur de la ressource nécessite réellement l'application de
ces contre-mesures.
Par ailleurs, l'atténuation de menaces mécaniques peut
mettre à jour des risques de sécurité supplémentaires, car les mesures
d'atténuation peuvent accroître la surface d'attaque. La surface d'attaque
d'une ressource se définit par le nombre de points d'entrée potentiels dans le
système que présente cette ressource. Il arrive souvent que l'ajout de
fonctionnalités à une ressource informatique contribue à exposer d'autres
vulnérabilités. Cela étant, les menaces mécaniques ne représentent généralement
pas un problème majeur dans un projet de sécurité. Elles ne sont donc pas
prises en compte dans ce guide.
Menaces
humaines
Les menaces humaines se présentent sous deux formes :
les menaces intentionnelles et celles qui ne le sont pas. Les menaces non
intentionnelles proviennent souvent d'une erreur commise par un utilisateur et
peuvent compromettre lourdement l'intégrité des données. Les bogues logiciels,
les erreurs de saisie de données et les erreurs d’administration appartiennent
à cette catégorie.
Attaques
intentionnelles
Les attaques intentionnelles ont pour objectif de nuire à
l'entreprise et sont généralement menées par des personnes extérieures ou par
des employés actuels ou anciens, qui agissent par mécontentement ou par
malveillance. En général, le personnel interne qui se livre à des attaques
poursuit un objectif spécifique et dispose d'un certain niveau d'accès légitime
aux systèmes de l'environnement. Les employés constituent le groupe qui connaît
le mieux les applications et les ordinateurs de la société, ainsi que, fort
probablement, les vulnérabilités susceptibles de causer le plus de dommages. Ce
type d'attaque peut être extrêmement difficile à détecter, et il n'est pas
évident de s'en protéger.
Si un individu faisant partie de l'entreprise commet une
attaque, il vise le plus souvent un but spécifique. Dans la mesure où il
bénéficie généralement d'un accès légitime au système, son attaque peut avoir
une incidence sur tous les composants de la sécurité du système informatique ou
sur les applications. Parmi les autres délits liés à la sécurité commis par du
personnel interne malveillant, il faut citer ceux qui reposent sur la
corruption ou la manipulation. La manipulation est une approche utilisée dans le
but de soutirer des informations à des personnes (leurs mots de passe ou
d'autres informations de sécurité) sans qu'elles s'en rendent compte. Les
actions de ce type passent souvent inaperçues dans la mesure où les journaux
d'audit ne sont pas conçus pour les détecter ou ne sont pas examinés assez
attentivement.
Une attaque intentionnelle peut avoir recours à la
manipulation pour tromper les employés et obtenir l'accès à l'environnement.
Par exemple, le pirate peut se faire passer pour un administrateur et demander
les noms d'utilisateur et les mots de passe. Les employés peu informés et non
conscients des menaces qui pèsent sur la sécurité peuvent se laisser piéger.
Des employés mécontents peuvent dans le meilleur des cas être à l'origine de
nuisances et, au pire, saboter l'entreprise. En réalité, le personnel en place
peut provoquer plus de dommages que les anciens employés.
Attaques non
intentionnelles
Les pirates ne sont pas les seuls à pouvoir nuire à
l'entreprise. Les utilisateurs autorisés qui ignorent tout des conséquences de
leurs actions constituent la principale menace pour l'intégrité des données.
Des erreurs ou des omissions peuvent engendrer la perte et l'altération de
données essentielles pour l'entreprise.
Les erreurs et omissions représentent des menaces
importantes pour l'intégrité des données. Les erreurs ne sont pas l'apanage des
opérateurs de saisie qui traitent des centaines de transactions par jour :
elles peuvent également être commises par tout utilisateur qui crée et modifie
des données. De nombreux programmes, spécialement ceux qui sont conçus par les
utilisateurs de PC, ne sont pas dotés de mesures de contrôle qualité
appropriées. Et même les programmes les plus sophistiqués ne peuvent éliminer
tous les risques d'omissions et d'erreurs de saisie.
La gravité des erreurs de programmation et de
développement, communément appelées bogues, varie : ces erreurs sont
parfois simplement irritantes, mais elles peuvent aussi se révéler
catastrophiques. L'amélioration de la qualité des logiciels a limité cette
menace, sans toutefois l'éliminer. Les erreurs d'installation et de maintenance
peuvent aussi être à l'origine de problèmes de sécurité. La majorité des
entreprises ont tendance à croire que les programmes informatiques installés
dans leurs systèmes sont plus précis et exacts qu'ils ne le sont en réalité.
Nombreuses sont celles qui doivent implémenter des stratégies de sécurité pour
pallier les erreurs et omissions présentes au niveau de la sécurité
informatique, de la qualité des logiciels et des programmes de qualité des
données.
Classification
des menaces
Les menaces peuvent être classées de centaines de façons.
Microsoft a mis au point la méthode STRIDE pour classifier différents types de
menaces hostiles. Notez que STRIDE est l'acronyme des expressions
suivantes :
Spoofing (usurpation d'identité), Tampering (falsification des données), Repudiation (répudiation), Information disclosure (divulgation
d'informations), Denial of service
(déni de service) et Elevation of
privilege (élévation de privilèges).
Chacun de ces aspects est défini ci-dessous.
Usurpation
d'identité
Les menaces liées à l'usurpation d'identité incluent
toutes les opérations visant à obtenir et à utiliser illégalement les
informations d'authentification d'une personne, le nom d'utilisateur ou le mot
de passe par exemple.
Falsification
des données
Ce type de menace consiste à modifier les données dans un
but malveillant. Il peut s’agir de modifications non autorisées de données
permanentes, comme la modification de la page d'accueil d'un site Web et
d'informations figurant dans une base de données, ou encore l'altération de
données pendant qu'elles circulent entre deux ordinateurs dans un réseau
ouvert.
Répudiation
La répudiation consiste pour un utilisateur à nier qu'il a
accompli une action, les autres parties étant dans l'impossibilité de prouver
le contraire. Par exemple, un utilisateur peut effectuer une opération illégale
dans un système incapable d'assurer le suivi de l'action interdite.
La non-répudiation fait référence
à la capacité d'un système à contrer les menaces de répudiation. Par exemple,
une personne qui achète un article doit apposer sa signature à la livraison. Le
vendeur peut alors utiliser le récépissé signé comme preuve que l'acheteur a
reçu le colis.
Divulgation
d'informations
La divulgation d'informations consiste à exposer des
informations à des personnes qui ne sont pas supposées y avoir accès. Ce type
de menace survient en donnant par exemple la possibilité à des utilisateurs de
lire des fichiers auxquels ils n'ont pas accès en principe ou à un intrus de
lire des données en transit entre deux ordinateurs.
Déni de
service
Une attaque de déni de service entraîne des perturbations
au niveau du service fourni à des utilisateurs valides. Elle peut notamment
être destinée à rendre un serveur Web temporairement inaccessible ou
inutilisable. Les mesures prises pour se prémunir contre certains types de
menaces d'attaque de déni de service peuvent contribuer à améliorer la
disponibilité et la fiabilité d'un système.
Élévation de
privilèges
Ce type de menace découle de l'obtention par un
utilisateur dépourvu de droits d'accès d'un accès privilégié au système qui lui
permet de compromettre et éventuellement de détruire tout un environnement
système. Par exemple, un pirate peut avoir raison de toutes les défenses d'un
système pour exploiter et endommager celui-ci.
Exploitation
d’une vulnérabilité
Une menace qui exploite une vulnérabilité dont souffre
l'environnement d'une entreprise peut permettre l'accès à une ressource. Le
tableau suivant présente des exemples de trois types principaux
d'exploitations.
Tableau 2-3
Types d'exploits
|
Exploit |
Exemple |
|
Exploitation d'une vulnérabilité technique |
Attaque par énumération systématique Dépassement de la mémoire tampon Erreurs de configuration Attaque par rejeu Piratage de session |
|
Collecte d'informations |
Identification d'adresse Destruction de documents Identification du système d'exploitation Balayage des ports Analyse des temps de réponse Manipulation humaine Interrogation de services et d'applications Recensement des utilisateurs Recherche des vulnérabilités Fuite de liaison sans fil |
|
Déni de service |
Dommage physique Suppression de ressources Modification de ressources Saturation de ressources Dépassement de la mémoire tampon |
Exemple :
exploitations effectuées par des pirates informatiques
Suppression et
altération des informations
Le plus souvent, l'auteur d'une attaque hostile qui
supprime ou altère des informations veut soit prouver quelque chose, soit se
venger. S'il fait partie du personnel interne, son attaque est souvent
l'expression d'une rancune ou d'un mécontentement vis-à-vis de l'entreprise.
Les pirates informatiques qui n'appartiennent pas à l'entreprise ciblée,
agissent souvent pour prouver que l'attaque en question est possible ou pour
leur satisfaction personnelle.
Fraude
informatique et vol de données
Les technologies de l'information sont à la fois les
outils et la cible de fraudes et de vols toujours plus nombreux. Des systèmes
financiers soigneusement conçus et contrôlés peuvent satisfaire aux obligations
légales et aux exigences de reporting en vigueur pour empêcher la fraude. Ces
types d'environnements ne sont toutefois pas les seuls à être la cible de
telles attaques. D'autres sociétés sont également visées et notamment des
environnements contrôlant l'accès aux informations personnelles. Citons par
exemple les organismes de cartes de crédit, les bureaux qui délivrent les
cartes d'identité ou encore les systèmes de pointage des présences en
entreprise, d'inventaire, de notation scolaire ou de facturation des
communications téléphoniques longue distance.
En raison de leur petite taille et de leur grande valeur,
les vols d'ordinateurs sont fréquents. Certes, le matériel peut être remplacé
aisément, ce qui n'est pas le cas des données qu'il contient. Et ces données
sont d'autant plus précieuses s'il s'agit de numéros de cartes de crédit ou de
fiches médicales de patients. Il est impossible d'empêcher le vol. Toutefois,
pour protéger au mieux les investissements matériels consentis par
l'entreprise, vous pouvez prendre certaines mesures, comme le verrouillage
physique des stations de travail, pour sécuriser vos ordinateurs. Si un
ordinateur est dérobé, ses données seront à la merci du voleur, qui aura la
possibilité de les lire ou de les détruire. Vous pouvez toutefois faire en
sorte que les informations volées soient inutilisables en les cryptant et en
rendant la clé de décryptage inaccessible.
Perturbation
de l'activité normale de l'entreprise
Une attaque vise parfois à entraver le bon déroulement des
opérations à l'intérieur d'une entreprise. Un tel acte peut être motivé par la
malveillance, comme lorsqu'un employé mécontent ne veut pas travailler parce
qu'il s'est vu refuser une promotion.
Pareille attaque peut également être perpétrée par un
intrus désireux de troubler le fonctionnement de services et de nuire à une
entreprise concurrente. Pour d'autres encore, il peut s'agir uniquement d'un
jeu. Quelle que soit la situation, l'auteur de l'attaque poursuit un objectif
spécifique, et l'atteindre lui procure une certaine satisfaction. Les méthodes
mises en œuvre pour réaliser des attaques de déni de service sont nombreuses.
Pour plus d'informations au sujet de ces méthodes ainsi que des outils et des
techniques qu'elles requièrent, reportez-vous à la section relative à l'analyse
des menaces au chapitre 3, « Présentation de la discipline de gestion
du risque de sécurité ».
Méthodes
d'attaque
Motif de la menace + Méthode d'exploitation +
Vulnérabilité de la ressource = Attaque
La méthode décrite par cette formule exploite la
vulnérabilité de l'entreprise pour se protéger contre les attaques dont le
processus est décrit par la figure 2.2. Les attaques hostiles peuvent
engendrer l'accès à des services ou le déni de service par différents moyens,
tels que :
· virus, chevaux de Troie et vers ;
· craquage de mots de passe ;
· attaque de déni de service ;
· piratage de courrier électronique ;
· code malveillant ;
· reconstitution de paquets ;
· modification de paquets ;
· écoute ;
· manipulation d’utilisateur ;
· intrusions ;
· usurpation d'adresses IP et piratage de session.
Vulnérabilités
Une vulnérabilité est un point menacé d'une ressource, sa
faille, sa faiblesse. La vulnérabilité peut être d'ordre technologique ou bien
être liée à un processus ou à une personne. Dans la majorité des cas, elle est
considérée comme une faille technologique dans l'implémentation de logiciels ou
de matériels, voire dans la conception ou l'architecture d'un système. Elle
peut également résulter de procédures et de stratégies d'entreprise mal
définies ou communiquées de façon inadéquate au sein de l'entreprise. En outre,
les vulnérabilités constituent des points faibles ou des failles de sécurité
que l'auteur d'une attaque hostile exploite pour accéder au réseau ou à ses
ressources. Il est important de comprendre que la vulnérabilité n'est pas
l'attaque elle-même, mais le point faible qui est exploité pour réaliser
l'attaque.
Le tableau 2.4 ci-dessous répertorie divers types de
vulnérabilités. Ce ne sont que quelques exemples parmi d'autres de
vulnérabilités touchant les domaines de la sécurité physique, du réseau ou des
données.
Tableau 2-4
Types de vulnérabilités
|
Type |
Exemples |
|
Vulnérabilité
physique |
Portes non verrouillées |
|
Vulnérabilité
naturelle |
Implantation de bureaux sur une ligne de faille
géosismique |
|
Vulnérabilité
matérielle ou logicielle |
Logiciel antivirus et correctifs de système
d'exploitation obsolètes |
|
Vulnérabilité
du support des données |
Interférences électriques |
|
Vulnérabilité
des communications |
Protocoles non cryptés |
|
Vulnérabilité
humaine |
Procédures mal définies et applications mal écrites |
Risques
Un risque est la probabilité de voir une vulnérabilité
exploitée par un agent de menace et le potentiel de perte qui en résulte. Si
plusieurs ports d'un pare-feu sont ouverts, il existe un risque plus élevé
qu'un intrus utilise l'un des ports pour accéder au réseau sans y être
autorisé.
Les risques sont également accrus si les utilisateurs de
votre environnement ne sont pas formés aux processus et aux procédures :
un employé commettra plus facilement une erreur, détruisant accidentellement
des données. Si un système de détection des intrusions n'est pas implémenté sur
le réseau, le risque que l'attaque passe inaperçue jusqu'à ce qu'il soit trop
tard est plus élevé. Le risque est en revanche réduit si les vulnérabilités ou
les agents de menace sont limités.
Contre-mesures
Les contre-mesures, ou mesures de protection, atténuent le
risque potentiel. Il peut s'agir d'une configuration logicielle, d'un composant
matériel et/ou d'une procédure qui, une fois déployés, permettent de contrer
une menace ou une vulnérabilité, de sorte que le risque auquel est exposé
l'environnement informatique est limité. La mise en œuvre de mots de passe
forts, la présence d'un agent de sécurité, des mécanismes de contrôle d'accès
au sein d'un système d'exploitation, l'implémentation de mots de passe BIOS (Basic Input/Output System) et une
formation sur la sécurité sont autant d'exemples de contre-mesures.
Si votre société a installé des correctifs de sécurité
uniquement sur les serveurs et que ceux-ci ne sont pas à jour, cela engendre
une vulnérabilité. La menace provient d'un utilisateur qui, intentionnellement
ou non, s'introduirait dans l'environnement de sorte à nuire à la productivité.
Sans la mise à jour des correctifs logiciels, un système n'est pas protégé, et
cette exposition laisse craindre une perte ou une corruption de données. Dans
un tel cas, les contre-mesures consistent à installer tous les Services Packs
requis sur les ordinateurs de l'entreprise et à les mettre à jour à l'aide des
éventuels correctifs logiciels qui n'y figurent pas. La relation entre menaces,
vulnérabilités et contre-mesures est illustrée par la figure suivante.
Figure 2-3.
Relation entre les composants de sécurité.
Relations
entre les composants de sécurité
Une enquête sur les intrusions informatiques publiée par
le CSI et le bureau du FBI de San Francisco relate dans le détail divers types
de délits informatiques. Les résultats de cette enquête constituent une source
de renseignements bruts. Ils peuvent vous aider à mieux cerner les tendances
actuelles de la « cybercriminalité ».
Résumé
Ce chapitre a présenté une vue d'ensemble des composants
majeurs de l'analyse de la sécurité et des principaux processus de sécurité
requis dans un environnement d'entreprise. Il est vital de bien appréhender la
relation qui unit les menaces, les expositions, les vulnérabilités et les
contre-mesures, afin de pouvoir appliquer des mesures de sécurité efficaces
dans votre entreprise.
Informations
complémentaires
Informations sur les délits informatiques : http://www.gocsi.com/press/20020407.html
(en anglais).
Informations sur l'évaluation des menaces : article
« Threat Assessment of Malicious
Code and Human Threats », de Lawrence E. Bassham & W. Timothy Polk
(National Institute of Standards and Technology Computer Security Division),
accessible à l'adresse http://csrc.nist.gov/
(en anglais).
Informations sur les meilleures pratiques en matière de
sécurité informatique : http://www.iso-17799.com/
(en anglais).
Informations sur le piratage : http://www.hackingexposed.com/ (en
anglais).
Informations sur les menaces posées à la sécurité sur le
site Microsoft TechNet : http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bestprac/bpent/sec1/secthret.asp
(en anglais).
Informations sur la valorisation des ressources, sur le
site du National Institute of Standards and Technology : http://csrc.nist.gov/asset/ (en
anglais).